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moyens de contrdle (5) cons&:utivement k la r&:eption par le serveur 



(57) Abstract: The invention concerns a data 
processing device (1) implanted in a computer server 
capable of receiving primary data and transmitting 
said primary data after applying through control 
means (5) specific processing operations based 
on primary rules. Said device (1) comprises a first 
table (Tl) storing sets of at least one primary rule, 
called primary meta-rules, in parameterable form, 
for matching primary identifiers and management 
means (8) to be coupled with the control means 
(5) and designed, on receiving auxiliary data 
representing operating parameters, delivered by 
the control means (5) following reception by the 
server (2) of secondary data, to select fix>m the first 
table (Tl) one at least of the primary identifiers and 
associate therewith the auxiliary data so as to define 
the specific processing operations. 

(57) Abr^6 : Un dispositif de traitement 
de donn^es (1) est implant^ dans un serveur 
informatique pouvant recevoir des donnfies 
primaires et transmettre ces donn^es primaires 
apr^s application par des moyens de controle (5) 
de traitements sp^cifiques reposant sur des r&gles 
primaires. Ce dispositif (1) comprend, d*une part, 
une premi^ table (Tl) stockant des ensembles 
d'au moins une r&gle primaire, dits « m6ta-r&gles 
primaires», sous une forme param^trable, en 
correspondance d'identifiants primaires, et d' autre 
part, des moyens de gestion (8) destines ^ etre 
couples aux moyens de contrdle (5) et agenc^s, ^ 
reception de donn^es auxiliaires representatives de 
param^tres de fonctionnement, d^livr^es par les 



[Suite sur la page suivante] 



wo 03/092241 Al IlillllillllliilllllillllllllilllllllllliilllllRlli 



Declaration en vertu de la rigle 4.17 : En ce qui concerne les codes a deux lettres et autres abrevia- 

— relative a la qualite d'inventeur (rigle 4.17Jv)) pour US tions, se referer aux "Notes explicatives relatives aux codes et 
seulement abreviations" figurant au debut de chaque numiro ordinaire de 

la Gazette du PCT. 

Public : 

— avec rapport de recherche Internationale 

— avant I 'expiration du delai prevu pour la modification des 
revendications, sera republiee si des modifications sont re- 
gues 



(2) de donn^es secondaires, pour s^lectionner dans la premi^ table (Tl) Tun au moins des identifiants primaires et lui associer les 
donn^es auxiliaires, de mani^re d6finir les traitements sp^ifiques. 
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DISPOSITIF DE GESTION DE FILTRES DE DONNEES 



L'invention conceme le domaine du traitement de donnees, et plus 
5 particuli^rement celui du filtrage de donnees au niveau d'un point d'un r6seau 
public ou priv6 raccorde a un autre r§seau public ou prive ou raccorde a des 
terminaux d'utilisateurs. 

Le filtrage de donn6es est g6neralement assure par des serveurs 
informatiques 6quip§s d'un dispositif de traitement de type pare-feu (plus 
10 connu sous le nom anglais « firewall »). Un pare-feu est habituellement 
destin6 ^ assurer la protection de r6seaux priv§s (ou internes), de type LAN, 
ou de tenminaux d'utilisateurs isoles centre les attaques ou intrusions 
extSrieures provenant g6neralement d'un rSseau public (ou exteme), de type 
WAN, tel qu'lntemet II peut egalement servir d limiter Taccds d'utilisateurs 
15 d'un r^seau priv6 d un reseau public, ei/ou proteger le serveur d r6gard des 
deux reseaux, interne et externe. 

Pour assurer Tune au nnoins des fonctions precitees, ou en d'autres 
termes pour pouvoir filtrer les paquets de donnees regus par le serveur dans 
lequel ii est implant6, le pare-feu doit etre configure. Pour ce faire, on utilise 
20 g6n6ralement des regies primaires (ou 6l6mentaires) d§finissant des filtres. 
La configuration du pare-feu a done pour objet de lui faire appliquer une suite 
ordonn^e (au sens math6matique du tenne) de filtres actifs, A reception d'un 
paquet de donn6es, on confronte les caract§ristiques du paquet ^ ceiles des 
filtres de la suite ordonnde, de sorte que seuls poursuivent leur chemin les 
25 paquets pr6sentant des caract§ristiques compatibles avec celies des filtres. 

La configuration d'un pare-feu est une operation delicate effectu6e 
manuellement par Tadministrateur du r6seau auquel il appartient Du fait de 
cette intervention manuelle, statique, la configuration peut etre 
fonctionnellement correcte mais inadaptee ou non optimale. Elle peut meme 
30 s'av6rer enron6e. Dans tous les cas, cela ce tradult g6n6ralement par une 
degradation des performances du serveur. 

Les r6seaux 6voluant frequemment, les pare-feux doivent §tre 
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regulierement reconfigures, ce qui non seulement multiplie les risques 
d'erreur ou d'inadaptation, mais egalement entrame une perte de temps 
Importante pour I'administrateur du r6seau. 

Uinvention a done pour but de r§soudre tout ou partie des 
incx5nvenients pr6cit§s, en proposant un dispositif de gestion des filtres de 
pare-feu prenant en compte, en temps r6el, tant les modifications et 
Evolutions du param6trage du r6seau ou des services offerts par le r6seau, 
que les §v6nements non pr6visibles. 

Elle propose d cet effet un dispositif de traitement de donn6es, 
destine ^ etre implante dans un serveur informatique pouvant recevoir des 
donn§es primaires (ou paquets de donnees) et transmettre ces donn6es 
primaires aprds application, par des moyens de controls (de type pare-feu), 
de traitements sp6cifiques reposant sur des regies primaires. 

Ce dispositif se caracterise par le fait qu'il comprend i) une premiere 
table dans laquelle sont stockSes les « definitions/prototypes » d'ensembles 
de r^les primaires (dits « m6taH^egles primaires »), sous une forme 
parametrable, en correspondance d'identifiants primaires, (chaque ensemble 
ou meta-r^gle primaire comprenant au moins une r§gle primaire), et ii) des 
moyens de gestion destines §tre couples aux moyens de contrSle et 
capables de s6lectionner dans la premiere table certains identifiants primaires 
et, ^ reception de donn6es auxilialres representatives de param^tres de 
fonctionnement, delivrees par les moyens de controle consecutivement § la 
reception de donnees secondaires par le serveur, pour s6lectionner dans la 
premiere table Tun au moins des identifiants primaires et lui associer les 
donn6es auxilialres regues, de maniere a (re)definir les traitements 
specifiques. 

On entend ici par « donnees auxilialres » des donnees (ou valeurs) 
qui doivent dtre attributes d des parametres de fonctionnement des regies 
primaires d'une m6ta-r§gle que Ton souhaite mettre en oeuvre dans des 
moyens de contrdle, tels qu'un pare-feu, cons§cutivement ^ la r6ception de 
donn§es secondaires par le serveur. Par ailleurs, on entend ici par « donnees 
secondaires » toute information, re?ue par le serveur (ou ses moyens de 
contrdle), dont le contenu est interprets comme un besoln de reconfiguration 
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des moyens de contrSle. II pourra s'agirde donn6es (ou champs) contenues 
dans des paquets de donn6es primaires ou d'§venements survenus dans un 
r6seau, comme par exennple Tajout d'une carte. 

De la sorle, les moyens de gestion peuvent reconfigurer, de fagon 
dynamique et sans intervention humaine, les moyens de controle chaque fois 
que cela s'avere n6cessaire, S partir des m6ta-r6gles primaires d6finies et 
stockees dans la premiere table et des infonmatlons (donnees auxiliaires) 
foumles par le serveur. 

Selon une autre caract6ristique de I'invention, le dispositif peut 
comprendre une seconde table, accessible aux moyens de gestion (et de 
preference incorpor6e dans ceux-ci, tout comme la premiere table), dans 
laquelle sont stock^s des identifiants secondaires en correspondance, 
chacun, d'au moins un identifiant primaire selectionne (ou active) associe a 
des donnees auxiliaires (c'est-a-dire ceux qui designent des m§ta-regles 
mises en oeuvre dans les moyens de controle avec des parametres de 
fonctionnement representes par les donn6es auxiliaires). Dans ce cas, il est 
avantageux que les moyens de gestion pulssent, S reception des donnees 
auxiliaires, detenminer s'il leur conrespond dej^ dans la seconde table des 
identifiants secondaires s6lectionnes, de mani^re ^ leur associer de nouvelles 
donn6es auxiliaires destinees d adapter les traitements sp6cifiques. Cela 
pemiet de ne modifier que la partie de la configuration qui doit Y&tre et non 
rint6gralite de celle-ci. 

Certaines meta-rdgles primaires selectionnees peuvent etre 
regroupees dans la seconde table en meta-regles secondaires egalement 
representees par des identifiants secondaires, associes a des donnees 
auxiliaires. 

Un Identifiant secondaire peut etre identique, ou non, ^ un identifiant 
primaire. Par exemple, une m6ta-r6gle primaire pourra poss§der le m§me 
identifiant (primaire) dans les premiere et seconde tables si elle n'est mise en 
oeuvre que sous un unique param6trage (ou jeu de donnees auxiliaires) dans 
le pare-feu. En revanche, une m6ta-r6gle primaire devra porter un identifiant 
secondaire different de son identifiant primaire lorsqu'elle est mise en ceuvre 
sous plusieurs parametrages differents dans le pare-feu. 
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Ces m6ta-r6gles (primaires) et « super » meta-regles (secondaires) 
permettent de r^duire encore plus les temps de (re)configuration. 

Pr§ferentiellement, les moyens de gestion comprennent une 
multiplicite de sous-modules de gestion destines chaoun a gerer Tassociation 
de donn6es auxiliaires a une ou plusieurs m6ta-regles primaires ou 
secondaires (I'important etant que les sous-modules op6rent une partition des 
m6ta-r6gles primaires ou secondaires dont ils sont responsables), et sont 
agenc6s, ^ reception des donn6es auxiliaires, pour determiner parmi les 
sous-modules de gestion celui qui leur conrespond. Cela facilite rop6ration de 
reconfiguration et permet 6galement d'en reduire la dur6e. 

Par ailleurs, les moyens de gestion peuvent etre agences, & reception 
de certaines donn6es auxiliaires, pour supprimer de la seconde table Tun au 
moins des identifiants secondaires stockees (cela revient a deselectionner ou 
desactiver une m§ta-regle primaire ou secondaire au niveau des moyens de 
controle). ils peuvent gtre egalement agences, a reception de donnees 
complementaires communiqu6es par le serveur, pour ajouter, supprimer ou 
modifier dans la seconde table des m^ta-rdgies primaires ou secondaires ou 
des donnees auxiliaires associ^es aux m^ta-r^les primaires ou secondaires. 

En outre, les moyens de gestion et les tables font pref6rentiellement 
partie d'un «m6ta» pare-feu g6rant un pare-feu 6quipant le serveur et 
comportant les moyens de contrdle. 

L'invention concerne en outre un pare-feu 6quipe d'un dispositif du 
type de celui presents ci-avant. 

L'invention conceme egalement un proc6de de traitement dynamlque 
de donnees consistent a appliquer ^ des donnees primaires regues par un 
serveur infbnmatique, des traitements speclfiques d partir de r6gles primaires, 
de sorte que les donn§es primaires regues soient trait^es avant d'etre 
transmises par ledit serveur. 

Ce precede se caract^rise par le fait qu'il comprendune §tape 
preliminaire dans laquelle on stocke dans une premiere table des ensembles 
de regies primaires (ou m§ta-r§gles d'au moins une r6gle primaire), sous une 
forme param§trable, en correspondance d'identifiants primaires, puis on 
s§lectionne dans la premiere table certains identifiants primaires et, a 
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reception de donn6es auxilialres representatives de parametres de 
fonctionnement, d6iivr6es par le serveur cons6cutivennent a la reception de 

donnees secondalres, on s6lectionne dans la premiere table Tun au moins 

des identifiants primaires et on associe a cet identifiant primaire les donn6es 

auxilialres, de nnaniere d definir les traitements specifiques. 

Selon une autre caract6ristique de {'invention, lors de Tetape 

pr§liminaire on stocke dans une secxsnde table des identifiants secondaires 

en correspondance, chacun, d'au moins un identifiant primaire s6lectionn6 

associ^ d des donnees auxiliaires. 

Certaines meta-regles primaires peuvent etre regroup6es dans la 

seconde table en m6ta-r6gles secondaires representees par des identifiants 

secondaires. 

Selon une autre caracteristique de T invention, on peut paralieliser, 
d'une part, la selection dans la premiere table des meta-regles primaires, et 
d'autre part, la modification dans la seconde table des donnees secondaires 
associ6es ^ Tidentifiant secondaire repr6sentatif des m§ta-regles primaires ou 
secondaires s^lectionnees. 

Par ailleurs, le proc§de peut permettre, ^ reception de certaines 
donnees auxiliaires, la suppression de Tune au moins des m6ta-r6gles 
primaires ou secondaires stockees dans la seconde table. De m§me, le 
proc6d6 peut pemnettre, a reception de donnees complementaires 
communiqu§es par le sers/eur, Tajout, la suppression ou la modification dans 
la seconde table de m6ta-r6gles primaires ou secondaires. 

Le dispositif et le proced6 selon I'invention sont tout particuli^rement 
adaptes, bien que de fagon non exclusive, au filtrage de donnees dans les 
r^seaux de telecommunications publics et priv§s. 

D'autres caracteristiques et avantages de I'invention apparaltront d 
I'examen de la description detaill6e ci-apr§s, et des dessins annexes, sur 
lesquels : 

- la figure 1 illustre de fagon tr§s schematique un serveur raccorde a 
deux reseaux prive et public et §quipe d'un dispositif selon Tinvention. 

- la figure 2 est un diagramme bloc d6taillant de fagon sch§matique un 
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exemple de realisation d'un dispositif selon rinvention. 

Les dessins annexes sont, pour I'essentiel, de caract^re certain. En 
consequence, ils pourront non seulement servir a completer I'invention, mais 
aussi contribuer ^ sa definition, le cas eclieant. 
5 Dans la description qui suit, comme iliustre sur la figure 1, il sera fait 

reference § un dispositif de traitement de donn^es 1 implante dans un serveur 
infonmatique 2, install^ ^ un ncBud (ou point) de liaison entre un reseau public 
(ou exteme) 3 et un r6seau priv6 (ou interne) 4. Mais, le serveur pourrait §tre 
Implants en de nombreux autres endroits, comme par exemple chez un 
10 prestataire de services, ou chez un c3blo-operateur. 

Le reseau public 3 est, par exemple, le reseau Internet, et le reseau 
prive 4 est, par exemple, un reseau local de type LAN (pour « Local Area 
Network ») raccord6 a une multiplicite de terminaux d'utilisateurs. 

Bien entendu, le dispositif 1 pourrait etre implante dans un boTtier 
15 exteme, de type ^quipement auxiliaire, raccord§ au serveur 2, celui-ci etant 
alors directement raccorde au reseau exteme (Internet). 

Dans i'exemple iliustre, le serveur est de type « routeur », dans la 
mesure oCi les paquets de donn^es (primaires) entrants et sortants sont 
sensiblement identiques. Ce serveur 2 est par exemple destine k r§change 
20 de donnees vocales. II est par exemple equipe de plusieurs cartes 
electroniques qui communiquent sur le reseau inteme 4. Uune de ces cartes 
permet Tacces au reseau exteme 3 (ici Internet). Elle comporte done des 
interfaces WAN (ADSL, ISDN, Ethernet). Chaque carte possede ses propres 
privileges, notamment en matiere de type de trafic qu'elle peut gen6rer sur le 
25 reseau Inteme 4, compte tenu des autres materiels informatiques de ce 
reseau inteme. 

De preference, le serveur 2 heberge egalement des services 
configurables ou parametrables, comme par exemple un module de courrier 
eiectronique, un module Intranet, un module de reseau prive virtual (plus 
30 connu sous Tacronyme anglais VPN (pour « Virtual Private Network »), et 
analogue. 

Le serveur 2 est egalement 6quip6 d'un pare-feu (ou « firewall ») 5 
destine principalement, comme cela est bien connu de Thomme de Tart, d 
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filtrer les paquets de donn^es primaires regus, soit du reseau externe 3, via 
I'interface d'entr6e/sortie 6, soit du reseau interne 4, via Tinterface 
d'entree/sortie 7, 

Le pare-feu (ou coupe-feu) 5 permet ainsi de prot§ger les termlnaux 
5 d'utilisateurs Ti, ou ici le reseau prive 4, des agressions et attaques provenant 
du r6seau exterieur 3. 

Tout type de filtrage peut §tre envisage, dds lors qu'il repose sur 
rappllcatlon de regies elementaires (ou primaires) parametrables aux paquets 
de donn^es primaires regus par le serveur 2. il peut §tre g6n6ra!is6 A 

10 Tensemble d'un reseau, ou d des sous-parties d'un reseau, ou encore adapte 
a chaque utilisateur. Dans ce dernier cas, le filtrage porte egalement sur 
Tauthentification de Futilisateur. 

Bien entendu, le pare-feu peut etre configur6 de maniere ^ assurer 
d'autres fonctions que le filtrage. II peut notamment enregistrer certaines 

15 informations 6chang6es entre les tenminaux d'utilisateurs et le reseau exteme. 
G§n§ralement, il s*agit de sauvegarder dans une memoire, adapt^e cet effet 
les coordonnees des connexions prec^emment acceptees (adresse de 
Futilisateur, adresses (par exemple URL) des pages consultees sur les 
differents sites, date et heure de la consultation), il peut egalement etre 

20 configure de mani§re ^ faire remonter Tanalyse des paquets de donn§es dans 
les couches supSrieures du module OSI du pare-feu, par exemple de sorte 
que ledit pare-feu decide du rejet ou de I'acceptation d'un paquet en fonction 
d*6lements appartenant ^ sa couche applicative, II peut en outre etre 
configure de maniere ^ garder une trace de certains paquets echang6s (mode 

25 « LOG ») et/ou a modifier le contenu de certains paquets (mode « NAT », 
pour Network Adress Translation - par exemple pour le masquage des 
adresses IP du reseau inteme). II peut egalement etre configure pour assurer 
la dStecUon de virus. 

Dans I'exemple illustrd, le pare-feu 5 constrtue une partie du dispositif 

30 selon rinvention 1. Mais, dans une variante, le dispositif 1 pourrait §tre 
simplement coupid k un pare-feu « natif », afin de g§rer et contrdler 
dynamiquement sa configuration. 

On se ref6re maintenant ^ la figure 2 pour decrire en detail un 
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exemple de dispositif de traitement (1) selon Tinvention. 

Comme indiqu6 pr§c6demment, dans cet exemple le dispositif 1 
comporte, tout d'abord, un module de controle constituant le pare-feu (ou 
firewall) 5. Ce pare-feu etant sensiblement identique aux pare-feux 
5 traditionnels (ou natifs), il ne sera done pas decrit en detail. Sa structure en 
couche, notamment, sera ignor^e dans ce qui suit, dans la mesure oD elle est 
parfaitement connue de I'homme de Tart. 

Le module pare-feu 5 est destin§ a recevoir du serveur 2 ies paquets 
de donn^es primaires, regus par Tune de ses interfaces d'entree/sortie 6 et 7, 
10 afin de leur appliquer des traitements specifiques (ou filtrages) d6finis ^ partir 
de regies §lementaires (ou primaires) param6trables. 

Plus precis6ment, le module pare-feu 5 fait initialement Tobjet d'une 
configuration reposant sur {'implantation d'une suite ordonnee de regies 
primaires parametrables d§finissant des filtres actifs, de sorte que lesdits 
15 filtres puissant etre appliques aux paquets, sequentiellement et de fagon 
ordonnee en fonction de leurs caract6ristlques propres, telles que Ies 
adresses sources et de destination, Ies interfaces r^seaux d'entr^e et de 
sortie, Ies protocoles d'echange au dessus d'lP, tels que TCP, UDP ou ICMP 
(par exemple dans ie cas d'lntemet), ou encore en fonction de param§tres 
20 propres au protocole d'6change, tels que Ies ports source et de destination 
dans le cas de TCP et UDP, ou le type de paquet dans le cas d'ICMP. 

Gen§ralement, la configuration d'un pare-feu doit interdire tout trafic 
par d6faut et Ies filtres actifs ne doivent autoriser que certains sous 
ensembles de trafic qui doivent Tdtre. Par exemple un routeur connectant un 
25 r6seau interne a Internet peut mettre en oeuvre Ies regies simplifiees 
suivantes : 

o accepter des paquets relatifs ^ un paquet prScedemment accepte ; 
o accepter Ies paquets venant du r^seau interne (LAN) et aliant vers Intemet, 
par exemple lorsqu'ils sont de type HTTP ou HTTPS (TCP/80 et 
30 TCP/443) ; 

o accepter Ies paquets venant du LAN ^ direction du routeur, par exemple 
lorsqu'ils sont de type DNS (UDP/53) ou Echo Request (ICMP, type echo 
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request) ; 

o accepter les paquets relatifs au serveur de messagerie situe sur le LAN 
d'une Tentreprise et d'adresse sp§cifiee « *@* », par exemple les paquets 
SMTP (TCP/25) venant d'Internet et allant vers le LAN a Tadresse *@*, ou 
les paquets SMTP et POP3 (TCP/25 et TCP/110) venant de I'adresse *@* 
et allant vers Internet 

En fonction des r§sultats du filtrage, le module pare-feu 5 dSlivre au 
serveur 2 soit les donndes primaires trait^es, c'est-d-dire filtr^es et 
6ventuellement compl^tees et/ou modifi§es, sort un message de rejet des 
donnees primaires regues. Bien entendu, les donnees primaires peuvent 
aussi ne faire que traverser le serveur apr6s leur acceptation par le module 
pare-feu 5. 

Le dispositif 1 comprend un module de gestlon 8 pour optimiser la 
suite ordonn^e de regies elementaires d^finissant la configuration du serveur, 
mals surtout pour permettre qu'il soit reconfigure dynamiquement, de fagon 
optimale, chaque fois que le serveur 2 (ou son module pare-feu 5) regoit des 
donn§es secondaires correspondent, par exemple, d une modification sur le 
r^seau inteme 4, ou ^ un ev6nement impr6vu sur le r6seau inteme 4 ou 
exteme 3, tout en lul assurant un haut niveau de s6curit6. 

Plus precisement, le module de gestlon 8 est destine ^ adapter, de 
fagon dynamlque, la configuration du module pare-feu 5, d'une premiere part, 
aux caract6ristiques physiques (ou materielles) du serveur 2, comme par 
exemple le nombre de cartes 6lectroniques qu'il contient, le type de ces 
cartes, ou la topologie du reseau inteme 4, d'une deuxleme part, d la 
configuration de fonctionnement du serveur, par exemple pour qu'il puisse 
assurer certains services internes et/ou extemes, param§trables, et par 
consequent evolutils, avec d'Sventuelles restrictions sp^cifiques pour certains 
terminaux et/ou sur la presence d'une licence d'utilisation, et d'une troisidme 
part, d I'apparition d'ev^nements impr^vus intemes et/ou extemes, tels que 
des attaques non repertori^es, ou des attaques repertori^es, telles que par 
exemple des tentatives de connexion sur des services hebergees (http, VPN, 
telnet), des tentatives de sondage de port (« port scanning »), des 
modifications de trafic sur les interfaces LAN / WAN, telles que des 
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connexlons/deconnexions a un service ou site Internet, des liens avec des 
terminaux distants, ou des apparitions/disparitions de tunnels securises (ou 
cryptes) associes ^ un proc6de d'authentification, ou encore des stimuli 
generis lors de I'execution de taches par les services ou par une carte. 

Pour remplir les fonctions pr6cit6es, le module de gestlon 8 comporte 
un premier module de configuration 9 coupl6 & un second module de 
« liaison » 10, 6galement appele « m6ta-pare-feu » et coupl6 au module pare- 
feu 5. 

Lorsque le serveur 2 regoit des donn^es secondaires relatives ^ des 
modifications de caract6ristiques physiques (ou mat6rielles), a des 
(modifications de) param§tres de service, ou ^ des informations 
« contextuelles » (stimuli), il g6n6re des donnees auxiliaires (ou 
complementaires) a destination du module de gestion 8, pour lui demander de 
(re)configurer son module pare-feu 5, A reception de ces donnees auxiliaires, 
le module de gestion 8 les communique a son premier module de 
configuration 9. 

Le module de configuration 9 est un organe de d6cision qui d6cide de 
Topportunrte d'apporter des modifications d la configuration en cours du 
module pare-feu 5, tandis que le m6ta pare-feu 10 est charg6 de sa mise en 
oeuvre pratique. 

Le meta pare-feu 10 comporte un sous-module d'interface 11 (ou 
« moteur »), couple au module pare-feu 5 et a au moins une premiere 
memoire 12 dans laquelle est stockee une premiere table T1 de 
correspondance entre des donnees definissant des regies eiementaires (ou 
primaires) param^trables et des identifiants primaires. 

Plus pr6cis6ment, on stocke dans la premi§re table des 
d6finitions/prototypes d'ensembles (ou classes) de regies §l§mentaires (ou 
primaires), appel^s meta-rSgles (primaires). Chaque meta-rdgie est dediee d 
une categorie de filtrage choisie. Chaque ensemble ou classe (ou meta-r§gle 
primaire) comprend au moins une r^gle §l6mentaire ou primaire, mais 
g§n6ralement, il faut plusieurs regies 6l6mentalres pour definir un filtrage. 

Un identifiant primaire est associ6 a chaque classe de regies ou 
meta-r§gle primaire. Les meta-regles possedent done chacune une definition 
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(ou un prototype) stock^e dans la premiere table T1. Ces definitions sont 
preferentiellement produites ^ Taide d'un outil de compilation, dans la phase 
de conception du dispositif, compte tenu du module pare-feu 5 et de son 
utilisation. En fait, Toutil de compilation produit des m6ta-regles dont le 
contenu est conforme au module pare-feu 5 (ou qui peuvent se traduire par 
des regies primaires equivalentes et comprehensibles par le module pare-feu 
5). 

Le premier module de configuration 9 connaTt la liste des identifiants 
primaires des m§ta-rdgles, et le type de donn^es auxiliaires auxquels ils 
correspondent. Par consequent ^ reception de donn§es auxiliaires (indiquant 
par exemple qu'une nouvelle connexion IP, de type ISDN, a etS requlse par 
un tenminal du r6seau interne 4), le premier module de configuration 9 peut en 
deduire, d'une part, leur(s) type(s) et par consequent la ou les meta-regles 
qu'il doit associer a ces donn6es auxiliaires pour que le module pare-feu 5 
puisse etre (re)configure. II fournit aiors au moteur 11 du meta pare-feu 10 le 
ou les identifiants primaires et les donnSes auxiliaires (ou valeurs de 
parametres) associ6es. 

Dans un premier exemple de realisation, d reception des identifiant(s) 
primaire(s) et donn^es auxiliaires (ou valeurs de parametres), le moteur 1 1 
extrait de la premiere table T1 la definition associee et attribue aux 
parametres des meta-regles primaires designees les valeurs (ou donnees 
auxiliaires) regues. II genere ainsi une ou plusieurs nouvelles meta-regles 
primaires qu'il transmet au module pare-feu 5, pour qu'elle(s) se substitue(nt) 
e celle(s) qui etai(en)t devenues inadaptee(s), ou pour qu'elles les compietent. 

Ce mode de realisation permet de ne modifier que la partie de la 
configuration du module pare-feu 5 qui est concernee par les donnees 
auxiliaires fournies par le sen/eur 2. Ce mode de realisation est avantageux 
lorsque le module pare-feu 5 peut foumir ses parametres de configuration de 
fagon simple et rapide. Dans ce cas, le moteur 1 1 peut en effet savoir quelle 
est la configuration en cours dans le module pare-feu 5 et ne proceder qu'e la 
modification des parametres ayant evolue. En revanche, ce premier mode de 
realisation peut ne pas dtre optimal, lorsque le module pare-feu 5 n'est pas 
congu pour foumir ses parametres de configuration ou ne peut ie faire de 
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fagon simple et raplde. En effet, puisque Von ne connall pas la m^ta-regle 
primaire qui est activee dans le module pare-feu 5, il faut recalculer 
integralement toutes ses regies avec les valeurs de parametres foumies, ce 
qui peut s'averer assez long lorsque cette classe comprend de nombreuses 
regies el§mentaires. Cela peut aussi s'av§rer difficile voire impossible, 
notamment dans le cas d'ev^nements aleatolres, car cela suppose la 
sauvegarde de toutes les donn^es caract^ristiques de tous les 6venements et 
le parametrage des regies primaires du module pare-feu 5, ce qui reviendrait 
d d^porter la table J2, dont il est question ci-apres, a un niveau amont du 
traitement. 

Le dispositif selon Tinvention peut done se d^cliner sous une forme 
I6g§rement diff6rente, illustr6e sur la figure 2. Dans ce second exemple de 
realisation, le meta pare-feu 10 comprend une seconde m6moire 13, couplee 
au moteur 1 1 et dans laquelie se trouve stockee une seconde table T2 de 
correspondance entre des identifiants secondaires et des identifiants 
primaires, qui designent des meta-r6gles primaires dites « activees » (ou 
selectionn6es) du fait qu'elles participent a la configuration en cours du 
module pare-feu 5, associees a des donnees auxiliaires definissant les 
valeurs en cours des parametres des meta-r§gles participant k cette 
configuration. En d'autres termes, la configuration en cours du module pare- 
feu 5 est stockee dans la seconde mSmoire 13. 

Certains identifiant secondaires peuvent etre identiques ^ certains 
identifiants primaires, par exemple lorsqu'une meta-r^gle primaire n'est mise 
en oeuvre que sous un unique parametrage (ou jeu de donnees auxiliaires) 
dans le module pare-feu 5. En revanche, un identifiant secondaire est 
different d'un identifiant primaire des lors que la meta-regle primaire 
correspondante est mise en oeuvre sous plusieurs parametrages differents 
dans le module pare-feu 5. 

Preferentiellement, le premier module de configuration 9 connalt la 
liste des identifiants secondaires et le type de donnees auxiliaires auxquels ils 
conrespondent. Par consequent, d reception des identifiant(s) secondaire(s) et 
valeurs foumis par le premier module de configuration 9, le moteur 11 
inspecte tout d'abord la seconde table T2 de manidre ^ determiner si le ou 
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lesdits identifiants secondaires s'y trouvent stock6s en correspondance de 
donnees auxiliaires (ou valeurs), eventuellement differentes de celles 
regues. 

Si tel n'est pas le cas, il precede comme dans le premier mode de 
realisation. II extrait done de la premiere table T1 la definition de la meta-regle 
associ^e ^ i'identifiant secondaire ou pnmaire regu et attribue aux paramdtres 
de cette m^ta-rSgie les valeurs (ou donndes auxiliaires) regues. II peut 
6galement prendre la decision d'effacer des mSta-rdgles de la seconde table 
T2. Dans ce cas il reconstruit au pr^alable i'ensemble des rdgles primaires 
associSes aux anciennes donnees auxiliaires et (es efface du module pare- 
feu 5. La modification d'une m6ta-r§gle suppose aussi I'effacement pr§alable 
de son anclenne version lorsque le module pare-feu 5 ne propose pas de 
moyens simples pour identifier les regies primaires activees (ce que Ton peut 
supposer puisque le m6ta pare-feu permet d'apporter un moyen simple 
d'identification des m6ta-r§gles a I'aide d'un identifiant secondaire), 

II gen^re ainsi une classe de nouvelles regies eiementaires qu'il 
transmet au module pare-feu 5, pour qu'elle se substitue ^ celle qui ^tait 
devenue inadaptSe, ou pour qu'elle complete les m§ta-r§gles d^jd activ6es. 
Puis, il stocke dans la seconde table T2 Tidentifiant secondaire de la m^ta- 
r^gle et les donnees auxiliaires associ^es, puisqu'elles dSfinissent d^sormals 
une partie de la configuration en cours. 

En revanche, si Tidentrfiant primaire ou secondaire est present dans 
la seconde table T2, il extrait les donn§es auxiliaires associees § cet 
identifiant primaire et ne remplace que celles qui doivent etre changees. Bien 
entendu, il peut egalement rajouter des donnees auxiliaires (ou valeurs) si de 
nouveaux param^tres ont ete introdults par le premier module de 
configuration 9. II transmet ensuite au module pare-feu 5 la ou les meta-regles 
modifiees, ou la ou les nouvelles m§ta-regles param6tr6es, pour qu'elles se 
substituent ^ celles devenues inadaptees, ou viennent les completer. Puis, il 
stocke dans la seconde table T2 les nouvelles donnees auxiliaires en 
correspondance de Fidentifiant secondaire et de I'identifiant primaire associ^s, 
puisqu'elles definissent dSsonmais une pariiie de la configuration en cours. 

Afin d'accel6rer encore plus les traitements de reconfiguration, on 
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peut 6galement constituer dans la seconde table T2 des classes de classes 
(ou classes de m§ta-regles primaires) constituant des meta-r§gles 
secondaires. Dans ce cas, on associe ces m6ta-regles secondaires a des 
Identifiants secondaires qui sont 6galement stockes dans la seconde table T2 
5 en correspondance des identifiants primaires et donnees auxiliaires associ6s, 
lorsque ces meta-regies secondaires sont activSes (ou sSlectionn^es) avec 
lesdites donnees auxiliaires. 

On peut ggalement instaurer dans les tables de correspondance des 
niveaux de priorit6 entre regies d'une mSta-r^gle primaire, ou entre m6ta- 
10 regies primaires d'une m6ta-r^te secondaire, ou encore entre m§ta-r6gles 
primaires ou secondaires. 

De preference, le moteur 11 est agence pour supprimer de la 
seconde table T2, sur ordre du premier module de configuration 9, des 
identifiants secondaires associes a des meta-regies primaires qui ne sont plus 
15 actives dans le module pare-feu 5. Egalement de preference, le moteur 1 1 est 
agenc6 pour ajouter ou modifier dans la seconde table T2, sur ordre du 
premier module de configuration 9, des identifiants secondaires associes a de 
nouvelles meta-regies primaires ou secondaires, ou bien ajouter ou supprimer 
d'une m6ta-rdgle secondaire une ou piusieurs meta-r^gles primaires. II peut 
20 6galement §tre agence pour fusionner au sein d'une meme m6ta-regle 
secondaire, sur ordre, des m6ta-r^les primaires ou secondaires appartenant 
k au moins deux mSta-regles primaires ou secondaires diff^rentes, ou bien 
scinder une mSta-regle primaire ou secondaire, sur ordre, en au moins deux 
mSta-r^gles primaires ou secondaires, de mani^re ^ cr^er de nouvelles 
25 definitions de filtres. 

Les ordres transmis par le premier module de configuration 11 
resultent de preference d'instructions (ou donn6es complementaires) regues 
du serveur 2. 

Deux examples de sauvegarde de donndes dans la seconde table T2 
30 vont maintenant §tre d^crits d titre illustratif. Comme indiqu§ prdc^demment, 
la premiere table T1 comporte des definitions ou prototypes de meta-r6gles 
primaires en cbnrespondance d'identifiants primaires. Par exemple, I'identifiant 
primaire « Email » designe I'ensemble (ou jeu) de trois prototypes de regies 
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primaires : 

o Regie 1: FIow=FromLanToWan Source=$1 Protocol=tcp 
DestinationPort=smtp Action=ACCEPT 

o Rdgle 2: Flow=FromLanToWan Source=$1 ProtocoMcp 
DestinationPorl=pop3 Action=ACCEPT 

o Regie 3: Flow=FromWanToLan Destination=$1 ProtocoMcp 
DestlnationPort= smtp Action=ACCEPT 
Cette meta-regle Email permet Teohange de courrier electronique 
entre un serveur de courrier electronique sur le reseau interne (l_AN) et le 
serveur de TiSP sur Internet. Elie ne comporte qu'un seul parametre « $1 » 
(ou donnee auxiliaire) qui correspond a I'adresse IP du serveur de courrier 
Electronique sur le LAN. 

Ce parametre est transmis par rinterm6dialre d'une syntaxe 
particuliere auxtrois prototypes de regies primaires. 

Les autres param6tres (« Protocol=tcp, DestinationPort=smtp » ou 
« FromLanToWan »), caract6risant les regies primaires, sont d6finis de 
manidre statique dans Tentr^e de la premiere table. 

Lorsque Ton veut activer la m6ta-regle primaire Email avec une 
adresse de serveur 10.0.0.1 (ou donnee auxiliaire), on sauvegarde dans la 
seconde table T2 Tidentifiant primaire Email associe ^ Tadresse 10.0.0.1, en 
correspondance d'un identifiant secondaire qui peut etre egalement, dans cet 
exemple, Email. Dans la seconde table T2 cela peut s'exprimer sous la 
forme : « Email -> Email 10.0.0.1 ». 

Cette sauvegarde peut etre obtenue d I'aide d'une commande du type 
« metafirewall add Email 10.0.0.1 ». 

Si Ton doit ult6rieurement modifier I'adresse du serveur ou supprimer 
la m6ta-regle Email, on lancera respectivement les commandes « metafirewall 
add Email 20.0.0.1 » et « metafirewall delete Email ». 

Si, rinstallation 6volue, par exemple du fait qu'elle dispose d'un 
second serveur de courrier electronique d'adresse « 10.0.0.2 », et que Ton 
veut gerer les deux serveurs a I'aide d'une unique m6ta-regle secondaire, on 
peut associer ^ CQlle-ci ridentifiant secondaire « Serveur ». 
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Pour sauvegarder dans la seconde table T2 cet identifiant 
secx)ndaire dSsignant une m^ta-regle secondaire, et les donnees auxiliaires 
assoc!6es, on lance les commandes « metafirewall addin Serveur Email 
10.0.0.1 » et « metafirewall appendin Serveur Email 10.0.0.2 » 

Dans la seconde table T2 cela peut s'exprimer sous la forme : 
o Serveur -> Email 10.0.0.1 
Email 10.0,0.2 

Si cela s'av6re n6cessaire, on pourra effacer la m6ta-regle Serveur 
par la commande « metafirewall delete Serveur ». 

Bien que cela ne soit pas une obligation, le premier module de 
configuration 9 peut etre subdivise en plusieurs sous-modules de 
configuration charges chacun de Tactivation et de la parametrisation 
(paramfetres auxiliaires) d'un ensemble distinct de meta-rdgles (primaires 
et/ou secondaires), de sorte qu'd reception de donnSes primaires seul soit 
appelS le module qui leur est associS. Dans ce cas, chaque sous-module est 
agence pour adresser une sous-partie du moteur 1 1 , elle meme couplee a 
une sous-partie de la premiere table T1. Des liens de dependance peuvent 
exister entre modules. Dans ce cas Tappel d'un module implique quil appelle 
lui meme les modules dont il depend ou auxquels il est associ6. Cela peut 
permettre de r6duire encore plus le temps necessaire au calcul d'une 
reconfiguration. 

Le module de configuration 9 et le meta pare-feu 10 ont §t6 d6crits ci- 
avant sous la fonme de deux modules couples, mais separ6s. Mais, ils 
pourraient ne faire qu'un unique module 8. 

Par allleurs, on a d6crit un dispositif constituent a lui seul un pare-feu. 
Mais, le dispositif selon Tinvention pourrait ne pas comporter le module pare- 
feu 5, celui-ci 6tant d6j^ implant§ dans le serveur 2, sous fonne native. Par 
consequent, dans ce cas, le dispositif selon I'invention n'est constitue que du 
module de gestion 8, celui-ci devant alors etre lmplant§ dans le serveur 2 afin 
d"y etre coupl§ au module pare-feu natif. 

En outre, certains modules du dispositif 1 , tels que le premier module 
de configuration 9 et le moteur 11, peuvent etre realises sous la forme de 
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module(s) logiciel(s) ("software"). Mais ils peuvent §tre egalement r6alis6s, 
au moins en partie, sous la forme de circuits 6lectroniques ("hardware"), ou 
encore sous la forme de combinaisons de modules logiciels et de circuits 
electroniques. Ces modules logiciels peuvent etre, par exemple, realises en 
5 langage java ou en langage C ou C++. 

On peut egalement integrer des fonctlonnalites du meta pare-feu 10 
(notamment le nommage de regies a travers les tables T1 et T2) dans un 
pare-feu classique 5. 

L'invention offre 6galement un procede de traitement dynamlque de 
10 donnSes permettant d'appliquer ^ des donn§es primaires regues par un 
serveur informatique 12, des traitements specifiques S partir de regies 
primaires, de sorte que les donnees primaires regues soient traitees avant 
d'etre transmises par ledit serveur. 

Celui-ci peut §tre mis en ceuvre a Taide du dispositif presente oi- 
ls avant. Les fonctions et sous-fonctions principales et optionnelies assur^es par 
les etapes de ce proc^dS etant sensiblement identiques a celles assurSes par 
les diffdrents moyens constituants le dispositif, seules seront r§sum§es ci- 
aprSs les 6tapes mettant en oeuvre les fonctions principales du proc§d6 selon 
rinvention. 

20 Ce proc6de comporte une etape preliminaire dans laquelle on stocke 

dans une premiere table T1 des ensembles de regies primaires (dits « m6ta- 
rSgles primaires », constitu6s d'au moins une regie primaire), sous une forme 
parametrable, en correspondance d'identifiants primaires, puis on s61ectionne 
dans la premiere table T1 certains identifiants primaires et, a reception de 

25 donnees auxilialres representatives de parametres de fonctionnement, 
delivr6es par le serveur 2 cons6cutlvement a la reception de donn§es 
secondaires, on s6lectionne dans la premiere table Tun au moins des 
identifiants primaires et on associe a cet identifiant primaire les donnSes 
auxiliaires, de mani§re k dSfinir les traitements specifiques. 

30 Par ailleurs. lors de Tetape preliminaire on peut stocker dans une 

seconde table T2 des identifiants secondaires en correspondance, chacun, 
d'au moins un identifiant primaire s6lectionn§ associd k des donnees 
auxilialres. 
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En outre, on peut paralleliser d la fois ia selection dans la premiere 
table T1 des m6ta-rdgles primaires, et la modification dans la seconde table 
T2 des donnees auxiliaires associ6es a i'identifiant secondaire representatif 
des meta-regles primaires ou secondaires selectionnees. 
5 L'invention ne se limite pas aux modes de realisation de dispositif et 

de proc6de decrits ci-avant, seulement ^ titre d'exemple, mais elle engiobe 
toutes les variantes que pounra envisager Thomme de Tart dans le cadre des 
revendications ci-aprds. 
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REVENDICATIONS 
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1. Dispositif de traitement de donn6es (1), implantable dans un 
serveur informatique (2) agenc6 pour recevoir des donnees primaires et 
transmettre ces donnees primaires apres application par des moyens de 
controle (5) de traitements specifiques reposant sur des regies primaires, 
caracteris6 en ce qu'il comprend i) une premiere table (T1) dans laquelle sent 
stock§s des ensembles d'au moins une r§gle primaire, drts « meta- 
r§g!es prlmaires», sous une fonme param§trable, en conrespondance 
d'identifiants primaires, et ii) des moyens de gestlon (8) destines ^ §tre 
coupl6s auxdrts moyens de controle (5) et agenc§s, ^ reception de donnees 
auxiliaires reprdsentatlves de paramStres de fonctlonnement, d6livr6es par 
lesdits moyens de contrSIe (5) cons6cutivement a la r6ception par le serveur 
(2) de donn6es secondalres, pour s6lectionner dans la premiere table (T1) 
Tun au molns des identlfiants primaires et lui associer lesdites donnees 
auxiliaires, de manifere a definir lesdits traitements sp6cifiques. 

2. Dispositif selon la revendication 1, caracteris6 en ce qu'il 
comprend une seconde table (T2), accessible auxdits moyens de gestion (8), 
dans laquelle sont stockes des identlfiants secondaires en correspondance, 
chacun, d'au moins un identiflant primaire s6lectionn6 associe ^ des donnees 
auxiliaires. 

3. Dispositif selon la revendication 2, caractSrise en ce que lesdits 
moyens de gestion (8) sont agences, a r6ception desdites donnees 
auxiliaires, pour determiner s'il leur correspond dans la seconde table (T2) 
des identlfiants primaires s^Iectlonnes, de maniere ^ leur associer de 
nouvelles donnees auxiliaires destlnees a adapter lesdits traitements 
specifiques. 

4. Dispositif selon la revendication 2, caract§ris§ en ce que 
certaines meta-regles primaires selectionn§es sont regroupSes dans la 
seconde table (T2) en metei-r§gles secondalres representees par des 
Identlfiants secondaires. 

5. Dispositif selon la revendication 1, caracterisd en ce que lesdits 
moyens de gestion (8) i) comprennent une multiplicity de sous-modules de 
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gestion agences pour gerer chacun rassociatlon de donn6es auxlliaires k au 
moins une m6ta-r6gle primaire ou secondaire, et ii) ^ reception desdites 
donnees auxiliaires sont agences pour determiner parmi lesdits sous-modules 
de gestion ceiui qui leur correspond. 
5 6. Dispositif selon la revendication 2, caracterise en ce que lesdits 

moyens de gestion (8) sont agences, d reception de certaines donn6es 
compI6mentaires communiqu§es par le serveur (2), pour ajouter, supprimer 
ou modifier dans la seconde table (T2) des m§ta-r§gles primaires ou 
secondaires ou des donnSes auxiliaires associees auxdites m^ta-rSgles 
10 primaires ou secondaires. 

7. Dispositif selon la revendication 1 , caract6ris6 en ce que lesdits 
moyens de gestion (8) et lesdites tables (T1 ,T2) font partie d'un meta pare-feu 
propre a g6rer un pare-feu equipant ledit serveur (2). 

8. Pare-feu, caracterise en ce qu'il comprend un dispositif (1 ) selon 
15 Tune des revendications 1 a 7. 

9. Proc§d§ de traitement de donnees, consistant d appliquer k des 
donnees primaires regues par un serveur informatique (2), des traitements 
specifiques ^ partir de regies primaires, de sorte que les donnees primaires 
regues soient traitees avant d'§tre transmises par ledit serveur, caract6ris6 en 

20 ce qu'il comprend une etape preliminaire dans laquelle i) on stocke dans une 
premiere table (T1) des ensembles d'au moins une regie primaire, drts 
« m6ta-regles primaires», sous une forme parametrable, en correspondance 
d'identifiants primaires, et ii) a reception de donnees auxiliaires 
representatives de parametres de fonctionnement, delivrees par le serveur (2) 

25 consecutivement a la reception de donn6es secondaires, on s6lectionne dans 
la premiere table (T1) Tun au moins des identifiants primaires et on associe a 
cet identifiant primaire lesdites donnees auxiliaires, de maniere & definir 
lesdits traitements specifiques. 

10. Proc^de selon la revendication 9, caracterise en ce qu'd t'etape 
30 pr6liminaire on stocke dans une seconde table (T2) des identifiants 

secondaires en correspondance, chacun, d'au moins un identifiant primaire 
s§lect]onn6 associ§ d des donnees auxiliaires. 

11. Proced6 selon ia revendication 10, caracterise en ce qu'a 
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reception des donn§es auxiliaires, on detemiine s'il leur con-espond dans la 
seconds table (T2) des identifiants primaires selectionnes, de manfere d leur 

associer de nouvelles donn^es auxiliaires destinees a adapter lesdits 

traitements specifiques. 

12. Proced6 selon la revendicatlon 10, caracteris6 en ce que 
certaines meta-regles primaires sont regroup6es dans la seconde table (T2) 
en meta-r^les secondaires representees par des identifiants secondaires. 

13. Proc^de selon la revendicatlon 9, caract§ris§ en ce qu'on 
parallelise i) la selection dans la premiere table (T1) des rndta-rSgles 
primaires ou secondaires, et ii) la modification dans la seconde table (T2) des 
donn^es auxiliaires associees a lldentifiant secondaire repr6sentatif des 
meta-r^gles primaires ou secondaires seiectionn6es. 

14. Proc6de selon la revendication 9, caracteris6 en ce qu'a 
reception de donn§es compl6mentaires communiquees par ledit serveur (2), 
on ajoute, supprime ou modifie dans la seconde table (T2) des meta-regles 
primaires ou secondaires. 
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